GUI 기반의 리눅스 포렌식 도구 SMART

저번 포스팅에서 Wiping 도구를 소개하였다. 오랜시간을 걸려 와이핑을 한 디스크가 정말 제대로 된 것일까 하는 궁금증이 생긴다. 찾다보니 GUI 화면의 나름 깔끔해 보이는 것이 하나 있어 테스트해 보았다. 무료는 아니지만 평가판으로 설치하여 간단하게 나마 확인하는 차원에서는 나쁘지 않을것 같다. (제품을 광고하고자 하는 것은 아니다 ^^)

ASR DATA 사의 스마트 포렌식이라는 도구를 이용하였는데, 다음 경로에서 평가판을 다운로드 받을 수 있다.

http://www.asrdata.com/forensic-software/smart-for-linux/

다운로드 받은 파일을 설치해 주면 /usr/local/SMART/ 경로가 생긴다. 여기서

# ./smart-eval 로 실행해 주면 로그인 창이 하나 나타나게 되고, 사용자 생성없이 No User 로 로그인해 사용해 보면 된다. 그러면 위와 같은 메인 화면이 나타난다. 여기서 /dev/sdb 로 연결되어 있는 80G 하드 디스크를 대상으로 할 것이다. 오른쪽을 클릭해서 디바이스 정보를 확인해 보면 기본 정보를 확인해 볼 수 있다. 디스크에서 데이터 View 기능을 누르면 위 우측 화면과 같이 기록되어 데이터가 나타난다. "aa" 로 다 기록되어 있는 것을 볼 수가 있고 처음부터 끝까지 모든 데이터는 다 이렇게 기록되어 있다. 확실하게 Wiping 이 된것 같다.

 자, 그럼 일반적인 하드 디스크의 경우는 어떨까? 운영체제가 설치되어 있는 디스크 영역으로 살펴보니 데이터들이 보인다.

 SMART 의 기능중에 하나인 검색기능을 이용해 보았다. 'network' 라는 문자열을 검색해 보았더니 상당히 많은 데이터가 검출되었다.

여기서는 앞서 소개한 Wiping 을 간단하게 확인하는 수준에서 다뤘고 데이터 뷰, 검색 기능등을 이용하여 포렌식을 하는데 이용하면 된다. 차차 리눅스 기반의 포렌식에 대해서도 다뤄볼까 한다. 참고로 해당 도구를 64비트 환경에서 실행했을때 문제가 발생하여 32비트의 가상 이미지에서 실행하였다. 64 비트 환경의 사용자 분들은 참고하길 바란다.